Apakah Pemindaian Sidik Jari Melanggar Aturan GDPR?
Di zaman modern tempat kita hidup sekarang ini, semakin umum menggunakan sidik jari sebagai alat identifikasi, misalnya: membuka kunci smartphone dengan pemindaian jari. Tapi bagaimana dengan privasi ketika itu tidak lagi terjadi dalam masalah pribadi di mana ada kesukarelaan sadar? Dapatkah identifikasi jari yang terkait dengan pekerjaan dibuat wajib dalam konteks keamanan? Dapatkah suatu organisasi memaksakan kewajiban pada karyawannya untuk menyerahkan sidik jari mereka, misalnya untuk akses ke sistem keamanan? Dan bagaimana kewajiban tersebut terkait dengan aturan privasi?
Sidik jari sebagai data pribadi khusus
Pertanyaan yang harus kita tanyakan pada diri kita sendiri di sini adalah apakah pemindaian jari berlaku sebagai data pribadi dalam pengertian Peraturan Perlindungan Data Umum. Sidik jari adalah data pribadi biometrik yang merupakan hasil pemrosesan teknis spesifik dari karakteristik fisik, fisiologis, atau perilaku seseorang. [1] Data biometrik dapat dianggap sebagai informasi yang berkaitan dengan orang perseorangan, karena merupakan data yang menurut sifatnya memberikan informasi tentang orang tertentu. Melalui data biometrik seperti sidik jari, orang tersebut dapat dikenali dan dapat dibedakan dari orang lain. Dalam Pasal 4 GDPR, hal ini juga secara eksplisit dikonfirmasi oleh ketentuan definisi. [2]
Identifikasi sidik jari adalah pelanggaran privasi?
Pengadilan Negeri Amsterdam baru-baru ini memutuskan diterimanya pemindaian jari sebagai sistem identifikasi berdasarkan tingkat peraturan keselamatan.
Rantai toko sepatu Manfield menggunakan sistem otorisasi pemindaian jari, yang memberi karyawan akses ke mesin kasir.
Menurut Manfield, penggunaan identifikasi jari adalah satu-satunya cara untuk mendapatkan akses ke sistem kasir. Hal itu perlu, antara lain, melindungi informasi keuangan dan data pribadi karyawan. Metode lain tidak lagi memenuhi syarat dan rentan terhadap penipuan. Salah satu karyawan organisasi keberatan dengan penggunaan sidik jarinya. Dia menganggap metode otorisasi ini sebagai pelanggaran privasinya, mengacu pada pasal 9 GDPR. Menurut artikel ini, pemrosesan data biometrik untuk tujuan identifikasi unik seseorang dilarang.
Kebutuhan
Larangan ini tidak berlaku jika pemrosesan diperlukan untuk tujuan autentikasi atau keamanan. Kepentingan bisnis Manfield adalah untuk mencegah hilangnya pendapatan karena personel yang melakukan penipuan. Pengadilan Subdistrik menolak banding majikan. Kepentingan bisnis Manfield tidak menjadikan sistem tersebut 'diperlukan untuk tujuan autentikasi atau keamanan', sebagaimana ditetapkan dalam Bagian 29 Undang-Undang Pelaksanaan GDPR.
Tentu saja, Manfield bebas bertindak melawan penipuan, tetapi hal ini tidak boleh dilakukan dengan melanggar ketentuan GDPR. Lebih jauh, pemberi kerja tersebut tidak memberikan bentuk jaminan lain kepada perusahaannya. Penelitian yang dilakukan terhadap metode otorisasi alternatif masih kurang memadai; pikirkan penggunaan akses masuk atau kode numerik, baik kombinasi keduanya atau tidak.
Majikan belum mengukur dengan cermat kelebihan dan kekurangan berbagai jenis sistem keamanan dan tidak dapat memberikan alasan yang cukup mengapa ia lebih memilih sistem pemindaian sidik jari tertentu. Terutama karena alasan ini, majikan tidak memiliki hak hukum untuk mewajibkan penggunaan sistem otorisasi pemindaian sidik jari pada stafnya berdasarkan Undang-Undang Pelaksanaan GDPR.
Jika Anda tertarik untuk memperkenalkan sistem keamanan baru, itu harus dinilai apakah sistem tersebut diizinkan menurut GDPR dan Undang-Undang Penerapan. Jika ada pertanyaan, silakan hubungi pengacara di Hukum & Lainnya. Kami akan menjawab pertanyaan Anda dan memberi Anda sah bantuan dan informasi.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005